沉迷于游戏无法自拔?
想学习又找不到认真学习的理由?
学习信息安全,却又苦于入门不得法?
也许
你需要这份神级书单带领你走向人生巅峰
过去的几周里
我们勤勤恳恳、任劳任怨、不分昼夜、风雨无阻……
为在座的各位吐血整理了这份信安入门神级书单
背后的辛苦
著名的三毛女士曾经说过
“读书读多了容颜自然改变”
看完接下去通通推荐的这十本书
容貌改不改变我不知道
但是牛X的资本确实提高了不少呢
本期推荐书目
《社会工程:安全体系中的人性漏洞》
《Android应用安全防护和逆向分析》
《逆向工程核心原理》
《Metasploit渗透测试魔鬼训练营》
《鸟哥linux的私房菜》(第三版)
《Linux二进制分析》
《网络空间安全实战基础》
《Python绝技:运用Python成为顶级黑客》
《白帽子讲web安全》
《web前端黑客技术解密》
(排名不分先后)
社会工程学
《社会工程:安全体系中的人性漏洞》
【内容简介】
本书首次从技术层面剖析和解密社会工程手法,从攻击者的视角详细介绍了社会工程的所有方面,包括诱导、伪装、心理影响和人际操纵等,并通过凯文·米特尼克等社会工程大师的真实故事和案例加以阐释,探讨了社会工程的奥秘。主要内容包括黑客、间谍和骗子所使用的欺骗手法,以及防止社会工程威胁的关键步骤。
【推荐原因】
社会工程学严格来说并非一门学科,但是却是信息安全中不可或缺的重要环节和体系。很多安全渗透的第一步就是利用社会工程学来获取个人信息,进而提取信息为之后的渗透环节做准备。很多弱密码或者薄弱突破点都会在社会工程学中体现出来。
安卓逆向
《Android应用安全防护和逆向分析》
【内容简介】
本书全面介绍Android应用的安全防护方法与逆向分析技术,分为四篇:基础篇、防护篇、工具篇、操作篇,共26章。基础篇包括第1~7章,主要介绍移动应用安全的基础知识,包括Android中NDK开发知识、逆向中需要用到的命令、编译之后的apk包含的四类主要文件格式解析等。防护篇包括第8~14章,主要介绍移动应用安全防护的相关技术,包括混淆、签名校验、反调试检测等安全策略,Android应用升级权限、降低权限等,配置文件中的问题,应用签名机制,apk的加固策略,so文件的加固策略等。工具篇包括第15~19章,主要介绍逆向分析常用的工具以及使用场景,包括如何开启设备的总调试开关,反编译利器apktool、Jadx、Xposed、CydiaSubstrate等。操作篇包括第20~26章,主要介绍Android中的逆向分析技巧,包括静态方式和动态方式等。
【推荐原因】
随着移动应用的广泛使用,不可忽视的一个问题就是信息安全。本书从Android应用安全和逆向两个方面来介绍移动开发中如何做好安全。在CTF比赛大量出现安卓逆向分析的题目,这本书很详细地阐述了逆向分析的步骤和需要注意的关键点。非常适合新手入坑逆向分析。
《逆向工程核心原理》
【内容简介】
《逆向工程核心原理》十分详尽地介绍了代码逆向分析的核心原理。作者在Ahnlab 研究所工作多年,书中不仅包括其以此经验为基础亲自编写的大量代码,还包含了逆向工程研究人员必须了解的各种技术和技巧。彻底理解并切实掌握逆向工程这门技术,就能在众多IT相关领域进行拓展运用,这本《逆向工程核心原理》就是通向逆向工程大门的捷径。
想成为逆向工程研究员的读者或正在从事逆向开发工作的开发人员一定会通过《逆向工程核心原理》获得很大帮助。同时,想成为安全领域专家的人也可从《逆向工程核心原理》轻松起步。
【推荐原因】
入门逆向工程的第一本书也是最好的一本书。
渗透测试
《Metasploit 渗透测试魔鬼训练营》
【内容简介】
本书是Metasploit渗透测试领域难得的经典佳作,由国内信息安全领域的资深Metasploit渗透测试专家领衔撰写。内容系统、广泛、有深度,不仅详细讲解了Metasploit渗透测试的技术、流程、方法和技巧,而且深刻揭示了渗透测试平台背后蕴含的思想。
书中虚拟了两家安全公司,所有内容都围绕这两家安全公司在多个角度的多次“对战”展开,颇具趣味性和可读性。很多知识点都配有案例解析,更重要的是每章还有精心设计的“魔鬼训练营实践作业”,充分体现了“实践,实践,再实践”的宗旨。
本书采用了第二人称的独特视角,让读者跟随“你”一起参加魔鬼训练营,并经历一次极具挑战性的渗透测试任务考验。你的渗透测试之旅包括10段精彩的旅程。
全书共10章。第1章对渗透测试和Metasploit进行了系统介绍,首先介绍了渗透测试的分类、方法、流程、过程环节等,然后介绍了Metasploit的功能、结构和基本的使用方法。第2章详细演示了渗透测试实验环境的搭建。第3章讲解了情报收集技术。第4章讲解了Web应用渗透技术。第5章讲解了网络服务的渗透攻击技术。第6章讲解了客户端的渗透攻击技术。第7章讲解了社会工程学的技术框架和若干个社会工程学攻击案例。第8章讲解了针对笔记本电脑、智能手机等各种类型移动设备的渗透测试技术。第9章讲解了Metasploit中功能最为强大的攻击载荷模块Meterpreter的原理与应用。第10章,魔鬼训练营活动大结局,本章发起了一个“黑客夺旗竞赛”实战项目,目的是进一步提高读者的实战能力。
【推荐原因】
Msf是一个非常著名的框架,通过此书可以掌握msf基本操作要领和常用payload,在渗透实战中有着很好的指导作用。
Linux运维
《鸟哥的Linux私房菜》(第三版)
【内容简介】
本书是非常有知名的Linux入门书《鸟哥的Linux私房菜基础学习篇》的第三版,全面而详细地介绍了Linux操作系统。全书分为5个部分:第一部分着重说明Linux的起源及功能,如何规划和安装Linux主机;第二部分介绍Linux的文件系统、文件、目录与磁盘的管理;第三部分介绍文字模式接口shell和管理系统的好帮手shell脚本,另外还介绍了文字编辑器vi和vim的使用方法;第四部分介绍了对于系统安全非常重要的Linux账号的管理,以及主机系统与程序的管理,如查看进程、任务分配和作业管理;第五部分介绍了系统管理员(root)的管理事项,如了解系统运行状况、系统服务,针对登录文件进行解析,对系统进行备份以及核心的管理等。本书内容丰富全面,基本概念的讲解非常细致,深入浅出。各种功能和命令的介绍,都配以大量的实例操作和详尽的解析。本书是初学者学习Linux不可多得的一本入门好书。
【推荐原因】
信安的第一步,玩转linux。
《Linux二进制分析》
【内容简介】
二进制分析属于信息安全业界逆向工程中的一种技术,通过利用可执行的机器代码(二进制)来分析应用程序的控制结构和运行方式,有助于信息安全从业人员更好地分析各种漏洞、病毒以及恶意软件,从而找到相应的解决方案。 《Linux二进制分析》是一本剖析Linux ELF工作机制的图书,共分为9章,其内容涵盖了Linux环境和相关工具、ELF二进制格式、Linux进程追踪、ELF病毒技术、Linux二进制保护、Linux中的ELF二进制取证分析、进程内存取证分析、扩展核心文件快照技术、Linux proc kcore分析等。《Linux二进制分析》适合具有一定的Linux操作知识,且了解C语言编程技巧的信息安全从业人员阅读。
【推荐原因】
涉及到linux底层和linux病毒,通过具体对病毒的注入、二进制分析以及溢出等常规漏洞进行分析,对程序编译运行有个大体的了解。总体不深奥,易懂,适合有一定基础的人进行学习。
信安综合
《网络空间安全实战基础》
【内容简介】
基于网络空间安全攻防实战的创新视角,全面系统地介绍网络空间安全技术基础、专业工具、方法技能等,阐释了网络空间安全的基本特点,涵盖了网络空间安全的应用技术,探讨了网络空间安全的发展方向。全书内容详实,具有较强的理论和实用参考价值,另配有网络空间安全实战技能在线演练平台及其实训教程。本书旨在系统地提高网络空间安全实战技能及防御知识。
【推荐原因】
涵盖了网络空间安全90%以上的内容,对每一部分的内容都做了深入浅出的介绍和分析。配合书中的实际动手操作样例,能够非常轻松的掌握信安的基础技能。实为一本不可多得的好书。
信安编程
《Python绝技:运用Python成为顶级黑客》
【内容简介】
Python 是一门常用的编程语言,它不仅上手容易,而且还拥有丰富的支持库。对经常需要针对自己所处的特定场景编写专用工具的黑客、计算机犯罪调查人员、渗透测试师和安全工程师来说,Python 的这些特点可以帮助他们又快又好地完成这一任务,以极少的代码量实现所需的功能。《Python绝技:运用Python成为顶级黑客》结合具体的场景和真实的案例,详述了 Python 在渗透测试、电子取证、网络流量分析、无线安全、网站中信息的自动抓取、 病毒免杀等领域内所发挥的巨大作用。
《Python绝技:运用Python成为顶级黑客》适合计算机安全管理人员、计算机犯罪调查和电子取证人员、渗透测试人员,以及所有对计算机安全感兴趣的爱好者阅读。同时也可供计算机、信息安全及相关专业的本/专科院校师生学习参考。
【推荐原因】
Python在渗透测试中是非常便捷的脚本语言,推荐这本书入门。
Web安全
《白帽子讲Web安全》
【内容简介】
互联网时代的数据安全与个人隐私受到前所未有的挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?《白帽子讲Web安全(纪念版)》将带你走进Web安全的世界,让你了解Web安全的方方面面。黑客不再神秘,攻击技术原来如此,小网站也能找到适合自己的安全道路。大公司如何做安全,为什么要选择这样的方案呢?在《白帽子讲Web安全(纪念版)》中都能找到答案。详细的剖析,让你不仅能“知其然”,更能“知其所以然”。
【推荐原因】
Web安全目前来看还是网络安全的重头,很多xss,csrf等仍然层出不穷。这本书从白帽子视角讲述了web安全之路。
《Web前端黑客技术解密》
【内容简介】
Web前端的黑客攻防技术是一门非常新颖且有趣的黑客技术,主要包含Web前端安全的跨站脚本(XSS)、跨站请求伪造(CSRF)、界面操作劫持这三大类,涉及的知识点涵盖信任与信任关系、Cookie安全、Flash安全、DOM渲染、字符集、跨域、原生态攻击、高级钓鱼、蠕虫思想等,这些都是研究前端安全的人必备的知识点。本书作者深入剖析了许多经典的攻防技巧,并给出了许多独到的安全见解。
【推荐原因】
Web安全,原因同上。
* 本文作者:网络安全通,转载注明来自FreeBuf.COM
领取专属 10元无门槛券
私享最新 技术干货